Informācija par aprīkojumā ar Thunderbolt interfeisu, kas apvienots ar koda nosaukumu un apiet visus galvenos Thunderbolt drošības komponentus. Pamatojoties uz identificētajām problēmām, tiek piedāvāti deviņi uzbrukuma scenāriji, kas tiek īstenoti, ja uzbrucējam ir lokāla piekļuve sistēmai, pievienojot ļaunprātīgu ierīci vai manipulējot ar programmaparatūru.
Uzbrukuma scenāriji ietver iespēju izveidot patvaļīgu Thunderbolt ierīču identifikatorus, klonēt autorizētas ierīces, nejaušu piekļuvi sistēmas atmiņai, izmantojot DMA, un ignorēt drošības līmeņa iestatījumus, tostarp pilnībā atspējot visus aizsardzības mehānismus, bloķēt programmaparatūras atjauninājumu instalēšanu un interfeisa tulkojumus Thunderbolt režīmā. sistēmas, kas aprobežojas ar USB vai DisplayPort pārsūtīšanu.
Thunderbolt ir universāls interfeiss perifērijas ierīču savienošanai, kas apvieno PCIe (PCI Express) un DisplayPort saskarnes vienā kabelī. Thunderbolt izstrādāja Intel un Apple, un to izmanto daudzos mūsdienu klēpjdatoros un personālajos datoros. Uz PCIe balstītas Thunderbolt ierīces ir nodrošinātas ar DMA I/O, kas rada DMA uzbrukumu draudus, lai nolasītu un rakstītu visu sistēmas atmiņu vai tvertu datus no šifrētām ierīcēm. Lai novērstu šādus uzbrukumus, Thunderbolt piedāvāja drošības līmeņu koncepciju, kas ļauj izmantot tikai lietotāja autorizētas ierīces un izmanto savienojumu kriptogrāfisko autentifikāciju, lai aizsargātu pret ID viltošanu.
Konstatētās ievainojamības ļauj apiet šādu saistīšanu un pieslēgt ļaunprātīgu ierīci autorizētas ierīces aizsegā. Turklāt ir iespējams modificēt programmaparatūru un pārslēgt SPI Flash uz tikai lasīšanas režīmu, ko var izmantot, lai pilnībā atspējotu drošības līmeņus un aizliegtu programmaparatūras atjauninājumus (šādām manipulācijām ir sagatavotas utilītas и ). Kopumā tika atklāta informācija par septiņām problēmām:
- Nepietiekamu programmaparatūras pārbaudes shēmu izmantošana;
- Izmantojot vāju ierīces autentifikācijas shēmu;
- metadatu ielāde no neautentificētas ierīces;
- Atgriezeniskās saderības mehānismu pieejamība, kas ļauj izmantot atcelšanas uzbrukumus ;
- Izmantojot neautentificētus kontrollera konfigurācijas parametrus;
- Kļūdas SPI Flash saskarnē;
- Aizsardzības līdzekļu trūkums līmenī .
Ievainojamība skar visas ierīces, kas aprīkotas ar Thunderbolt 1 un 2 (uz Mini DisplayPort bāzes) un Thunderbolt 3 (uz USB-C bāzes). Pagaidām nav skaidrs, vai problēmas parādās ierīcēs ar USB 4 un Thunderbolt 4, jo šīs tehnoloģijas ir tikko izziņotas un pagaidām nav iespējams pārbaudīt to ieviešanu. Ievainojamības nevar novērst ar programmatūru, un tām ir jāpārveido aparatūras komponenti. Tomēr dažām jaunām ierīcēm ir iespējams bloķēt dažas problēmas, kas saistītas ar DMA, izmantojot mehānismu , kurai atbalstu sāka īstenot, sākot ar 2019. Linux kodolā, sākot ar 5.0 versiju, varat pārbaudīt iekļaušanu, izmantojot “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Lai pārbaudītu ierīces, tiek nodrošināts Python skripts , kurai ir jādarbojas kā root, lai piekļūtu DMI, ACPI DMAR tabulai un WMI. Lai aizsargātu neaizsargātās sistēmas, mēs iesakām neatstāt sistēmu bez uzraudzības ieslēgtā vai gaidstāves režīmā, nepievienot kāda cita Thunderbolt ierīces, neatstāt un neatdot savas ierīces citiem, kā arī nodrošināt, lai jūsu ierīces būtu fiziski aizsargātas. Ja Thunderbolt nav nepieciešams, ieteicams atspējot Thunderbolt kontrolieri UEFI vai BIOS (tā var nedarboties USB un DisplayPort porti, ja tie tiek ieviesti, izmantojot Thunderbolt kontrolleri).
Avots: opennet.ru